Hoe zit het met app-compatibility

Zoals op de site staat:

Upon initial shipment of the Librem 5 in 2019, it will offer the essentials: phone functionality, email, messaging, voice, camera, browsing. The featureset will expand after shipment and over time to more free software applications. Your user experience will improve as we incrementally add commonly requested applications and features (such as calendaring, notes, calculator, PDF viewer, etc.) while keeping performance in mind.

In addition to its high-performance and tightly integrated “native” applications, the Librem 5 phone will be able to run HTML5 (web) applications, which means common applications you use everyday will be available through the web browser. We plan to sandbox and isolate these applications from the OS, so the applications will not be able to have visibility into other running applications or have access to areas that you do not explicitly allow.

Can I run Android apps?
Not day 1. However there is a lot of interest in including a isolation layer that will be able to power Android applications natively, the community can pool together and either implement that functionality, or we would need to run a new campaign for this specific feature (as the stretch goal for it was not met in our initial campaign).

Hoe zit het met tracking via de 'palen'

De meeste zaken zullen wel draaien aangezien er een Debian OS onder ligt. Maar ga voorlopig nog maar uit van een hoog hobby gehalte.

Ook jammer dat Pure OS 8 nog steeds een beta is.

PureOS, heeft een app store genaamd "Software" en kan HTML5 (web) applicaties draaien, wat betekent dat veelgebruikte applicaties die je dagelijks gebruikt beschikbaar zijn via de webbrowser

Ik twijfel hard aan het lijstje zoals dat wordt weergegeven. 'Does Not Track You', wat houdt dat in? Apps, in de browser, SS7, waar praten we over? 'Layered Security Protection', wat versta je daaronder? Apple heeft een strak rechtensysteem en goede controle op apps in de App Store, Google Play Protect doet aan app controle enz. dus waarom staat er 'no' bij iOS en Android? 'Separates CPU from Cellular Baseband' is op iOS wel degelijk het geval [1] dus ook hier snap ik de 'no' niet. 'It will not require you to enter banking details to simply get an app from an app store' is aantoonbaar fout, zowel bij iOS als bij Android is dit niet verplicht (waarom denk je anders dat er kraskaarten van beide merken bij de supermarkt hangen).
Het komt op mij erg over als FUD, iets wat ik wel vaker zie in de FOSS wereld. Dat is overigens erg jammer, want met open en eerlijke software kun je veel bereiken. Overigens denk ik niet dat dit wat gaat worden. De smartphone (iOS/Android) is ondertussen dusdanig verweven met onze dagelijkse bezigheden dat een derde OS niet volstaat; daarom is Windows Phone ook ten onder gegaan. We zullen zien wat het gaat worden.

[1]https://www.apple.com/business/site/docs/iOS_Security_Guide.pdf - Pagina 7, eerste alinea

Het is een arm processor, daar is al veel software voor. Voor whatsapp, signal, etc. die zullen later wel komen.

Nu nog een toestel met hardware leds gekoppeld aan de circuits voor Bluetooth, Nfc, radio, GPS en Wifi. Met een hardware schakelaar om een aantal andere zaken uit te zetten (camera's, GPS, microfoons).

Ziet er op zich goed en interessant uit. Ik hoop voor ze dat ze ook andere apps die niet gebaseerd zijn op standaard protocollen als html5 en imap (wat op elk toestel wel werkend te krijgen is) wel gaan werken. Zelfs erg security-bewuste mensen hebben vaak wel whatsapp of signal, en veel mensen verwachten toch ook support voor bijvoorbeeld de rabo/abn/ing bankieren app, dropbox, en een authenticator app. Maar..toestel ziet er goed uit en het heeft zeker een paar duidelijke pluspunten.

Is deze telefoon zelf te installaleren met welk OS je wil werken?.
Zou wel mooi zijn Linux of Android,of een speciaal nieuw mobiel OS wat Librem zelf voor deze telefoons heeft gemaakt.

De geachte redactie van Security.NL haalde in hun bovenstaande schrijven de volgende lijst van Librem 5 smartphone specificaties aan: https://puri.sm/products/librem-5/ Daarin staat onder meer de volgens zinssnede:


Weliswaar niet met hardware leds gekoppeld aan de circuits, maar dit lijkt mij toch wel wat je graag wilt hebben. Gelukkig hebben ze er voor gekozen om hun product niet op te tuigen als een kersboom :-) Dat valt minder op.

inderdaad, het ruikt nogal naar meneertje mcafee, die beweert dat elke app die toestemming vraagt , ALLES tracked/toegang heeft tot alles, en dus alles ook "misbruikt".


aka, wij van het inbrekersgilde verkopen u een stalen deur, die met een lans opengesneden kan worden, met als marketingtruc, vertellen dat een glazen deur ingegooid kan worden.

Standaard toch wel een firewall aan boord? Daarmee laat je zien privacy serieus te nemen en voor iedereen inzichtelijk te maken dat je geen dubbele agenda hebt.

Exact de reden waarom iOS en Android dit niet hebben.

Hoop op een succes, hoogste tijd voor een fatsoenlijk, gebruiksklaar/vriendelijk, MOS.

Ja en dat rijmt dus echt niet, want zeker deze groep hoort te weten wat voor een bedrijf FB is.
Ik weet niet of zuckerberg nu wel of geen blauwe ogen heeft ik zal nooit een zee gaan met dat soort personen.

Ik snap werkelijk niet waarom je op een dergelijk toestel Android zou willen installeren, nou zou je de vrijheid hebben om niet alles aan Google door te geven en dan ga je er Android opzetten????

Ik ben echt lost met dit soort opmerkingen op een (voormalig??)security forum.

Tracering via de GSM masten van telco's is vrijwel altijd mogelijk, tenzij je de GSM module op de Librem 5 mobiel geheel fysiek uitschakeld. Dat uitschakelen kan met een beschikbare hardware killswitch. Daar zit onder meer eentje voor op voor de GSM baseband module op de Librem 5 mobiel. Tenminste, dat maak ik op uit de beschikbare specificaties.

Zonder de GSM-functie zou men dan alsnog met spraak kunnen bellen middels de Signal.org app, gebruik makend van, bijvoorbeeld, een openbare WiFi hotspot. Geheel buiten het zicht van de GSM masten. Vergelijk dit met bellen via de app van Signal op een iPad van Apple, zonder SIM-kaart. Dat komt op vrijwel hetzelfde neer.

De voorgestelde Librem 5 mobiel zal bij aflevering reeds voorzien zijn van de Matrix.org app, dat gebruik zou maken van een gedecentraliseerd netwerk met end-to-end encryptie voor bellen en teksten. Telefoneren via Signal of Matrix vanaf wisselende WiFi hotspots maakt tracering niet geheel onmogelijk, maar wel aanmerkelijk ingewikkelder klus.

De huidige generatie van trackers en advertentie netwerken van Google, Facebook en consorten zijn hiermee in ieder geval buitengesloten. Vermoedelijk is het de geinteresseerden in de aanschaf van Librem hardware alleen al daar om te doen. Als het je om privacy te doen is, is gedecentraliseerde end-to-end encryptie sowieso the way to go.

Dat begrip bèta, voor als zijnde de 'ontwikkelfase' is in dit verband ook maar relatief. Zeker als men bedenkt dat het onderliggende Debian GNU/Linux systeem van Purism's PureOS sinds 1993, reeds 25 jaar, bestaat.

Debian zelf is een van de meest robuuste Linux distributies, niet alleen qua onderhoud en veiligheid, maar wereldwijd ook wat betreft ondersteuning en aantallen eigenaren. Een goede keus voor Purism of Ubuntu, zal men moeten toegeven.

Security-bewust en WhatsApp gaan nooit samen. Mensen die zogenaamd "security-bewust" zijn, maar vervolgens apps als WhatsApp en/of Facebook gaan gebruiken pretenderen alleen dat ze "bewust" zijn. Maar ondertussen knallen ze hun foon wel vol met apps die massaal aan tracking doen.

Als je dat verwacht, dan is dit toestel niet voor jou (denk ik dan maar!) Mensen kijken naar alternatieven, maar verwachten vervolgens van het alternatief dat het een complete kloon is van wat al bestaat. Zolang mensen in deze mindset zitten en "bang" zijn voor iets anders dan wat zij gewend zijn, begin er dan alsjeblieft niet aan. Het levert dan alleen maar teleurstellingen op. Laat ik het anders stellen: de Librem5 telefoon is niet voor de massa, alleen voor een specifieke groep mensen.

Purism heeft hun producten niet gemaakt met als uitgangspunt een grote, massale userbase (godzijdank!) Zij gaan uit van producten die je privacy respecteren en je een zo groot mogelijke veiligheid bieden, uiteraard binnen de kaders die voor hen mogelijk is om te bewerkstelligen. En zo moet het ook zijn. Wil je WhatsAppen, blijf in godsnaam weg van de Librem5 toestel. Blijf lekker bij Android. En tja, dat je daarvoor je privacy moet inleveren, dat is de keuze die je maakt. Net als ik de keuze maak om een telefoon te nemen die ik véél meer vertrouw dan die massaproductiezooi van o.a. Google. En dat ik niet kan WhatsAppen, dat is voor mij een zegen. Buiten het feit dat ik er nooit aan begonnen ben (ondanks de groepsdruk, ben ik sowieso ongevoelig voor!), WIL ik het ook niet gebruiken. Ik wil een toestel waarmee ik kan bellen, SMS'en, internetten, mijn eigen Linux-apps draaien en muziek kan luisteren. Meer heb ik niet nodig. Al het andere is - voor mij - bijzaak, onzin en tijdsverspilling.

Klopt. Echter door een tweede telefoon en nummer (liefst verlopen) te gebruiken, een firewall (connecties met facebook en google blokkeren), altijd vliegtuigstand, niet jouw eigen ip-adres gebruiken (door bijv. Ziggo Spots, Fon, VPN) en enkel de mensen die noodzakelijk zijn (en hun instrueren om niet jouw volledige naam in hun telefoon te zetten, dit is nog het meest lastige van alles) en alleen deze in jouw adresboek te zetten is het gebruik van whatsapp nog enigszins verantwoordelijk.

Voldoe je niet aan één van de bovenstaande punten, moet je het inderdaad niet gebruiken.

PureOS 8 staat al maanden in beta 1 en dat schept geen vertrouwen. En als PureOS/Librem privacy zo hoog in het vaandel hebben staan waarom zetten ze dan Firefox niet in een veiligere mode? Ik hoef b.v. die call home van Firefox echt niet zodat ze kunnen monitoren hoelang een FF open staat bij een gebruiker.

en als de telefoon er is willen de mensen allemaal whatsapp en facebook er hebben, hehe....

Daar hoor ik in ieder geval niet bij. Ik hoop juist verlost te zijn uit het hele Google ecosysteem. Eigenlijk uit elk huidige systeem, gecontroleerd door de Amerikaanse corporate business. ;-)

Men zal in de nabije toekomst dit soort veiliger open hardware telefoons wel eens hard nodig kunnen hebben. Misschien wel veel harder dan we nu denken. Het werk van Shoshana Zuboff "In the Age of the Smart Machine" (1988) geldt als onder academische experts als een klassieker. Vrijwel alles wat er in staat, is vandaag de dag tot werkelijk bijna dystopische proporties gegroeid. Dank zij de moraalloze ICT zonder regulering.

Lees haar meest recente boek, en de koude rillingen lopen langs je rug. Zelfs een bekende geslaagde MKBer die stug op de VVD blijft stemmen is zich uiteindelijk heel grote zorgen gaan maken. Zuboff laat zien is de skinneriaanse natte droom van social engineering met een omweg is terechtgekomen in de techindustrie. Heeft veel weg van vermomd communisme, gestoken in een kapitalitisch jasje. De consument onder de knoet van een vorm van geestelijke slavernij.

Surveillancekapitalisme: Een parasitaire economie
"De mens als grondstof" door Casper Thomas

https://www.groene.nl/artikel/de-mens-als-grondstof

Purism SPC is een Amerikaanse ideeële coöperatie, zonder winstoogmerk, die in de eerste plaats open hardware met open firmware produceert. Dat is bijna een novum in de gehele ICT industrie. Uiteraard moet de zaak wel minstens quitte draaien, want hardware ontwikkelen en produceren is een kostbare aangelegenheid. Vandaar o.m. de voorverkoop van de Librem 5 phone. Zowel aan Debian zelf als aan PureOS wordt continu gesleuteld.

Het ontwerp en de productie van veiliger hardware en open firmware is waar hun voornaamste focus momenteel op ligt. Wel kan ik mij voorstellen dat de aangepaste Mozilla Firefox webbrowser onder PureOS / Debian nog verder aan verbetering toe is. Dat is een kwestie van tijd, maar ook van beschikbare middelen en mensen. Meld je zelf bij Debian.org aan om je handen uit de mouwen te steken, zo zou ik zeggen.

Als je er zorgen om blijft maken, kun je die call home functie onder Firefox -- omgedoopt tot PureBrowser -- desgewenst zelf ergens onder de about:about of about:config pagina's uitzetten. Uiteraard moet je wel weten wat je doet. Het kan zijn dat de ontwikkelaars bij Purism die functie onder de PureBrowser nog met opzet aan hebben laten staan, juist om je temidden van de massa iets minder te laten opvallen. Gebruik in geval van gerede twijfel anders de Tor Browser Bundle.

https://www.privacytools.io/#about_config

Als je je profileert als een op privacy en security gerichte toko zal je zeker moeten zorgen dat je software ook echt privacy/security gericht is.Je kan je hardware nog zo secure maken maar als je software dat niet is heb je weinig aan die 'o zo veilige' hardware.Natuurlijk kan de gebruiker alles zelf instellen maar daar heb je PureOS helemaal niet voor nodig.

Een goed initiatief, zondermeer, ik hoop dat ze bij releasen wel alle zaakjes op orde hebben.

Dat is de échte kern van alle problemen online en IT breed: de cowboys runnen de show en niemand zegt er wat van. Duitsland slaat recent al wat harder op de trom (inzake Facebook) en Oostenrijk met Max Schrems (verwerping van Safe Harbor) maar dat moet nog veel meer worden. Ik ken weinig andere sectoren waarbij de impact van hun dienstverlening zo groot is (social media en smartphones worden door mensen in de verslavingszorg al vergeleken met drugs) en de regulering en wetgevend kader zo miniem is. Voldoet een techbedrijf niet aan onze wetgeving? Dan weg ermee! In onze supermarkten ligt ook geen Amerikaanse chloorkip, terwijl die vast stukken goedkoper is waardoor er waarschijnlijk wel vraag is, omdat het niet voldoet aan wat wij er van verwachten. Bedrijven als Facebook hebben psychologen in dienst om mensen maar zover te krijgen om iets te doen wat niet in hun eigen belang is. Of de 'klik op accepteer en zo niet dan kom je er niet in' benadering van Google/Android die totaal niet is toegestaan onder de vereiste 'vrije toestemming' die men geacht wordt aan te bieden. Maar het gebeurt omdat men er mee weg komt. Laat de politiek flink wat tegengas geven en laat desnoods de valse hond GDPR zich maar tegoed doen aan het potentiële dividend voor de aandeelhouders in de hoop dat de gang van zaken dan wat zal veranderen.

De gewraakte call home functie van Firefox / PureBrowser naar het adres <detectportal.firefox.com> is door een anonieme commentator in een eerder topic over Purism's hardware al eens aangesneden.

Het euvel zou de uptime van de gegeven browser op een bepaald IP-adres kunnen laten uitlekken. Als er hier al een issue mee gemoeid is, dan is dat probleem nu dus bij deze onder de geinteresseerden hier bekend.

https://www.security.nl/posting/593489/Librem+5+smartphone___


Men heeft om te beginnen betrouwbare open hardware en firmware nodig, want anders baseert men alle software die men er volgens op zet immers op drijfzand. Maar in de kern van de zaak heb je gelijk. It takes two to tango :-)

De bescherming van de consument is inderdaad miniem. Het lijkt veel op overdadige suiker consumptie ('infobesitas') of tabak verslaving. Het is vast geen toeval daar een lang topic op Security.NL daar aan is gewijd:

https://www.security.nl/posting/560223/Facebook+is+het+nieuwe+roken

Die is er eigenlijk dus niet echt. Je kan beter een legacy Nokia kopen. Daar heb je eigenlijk meer aan.

De rest is eigenlijk spelerij, want je kan er eigenlijk niets mee wat je met een smartphone wilt doen.

Ik ben erg benieuwd hoelang dit project overleeft. De markt is veel te klein om te overleven.

Daar is wel een bestaande oplossing voor: Anbox, een zandbak voor Andoid apps onder Debian.

"Anbox is a minimal Android container and compatibility layer that allows you to run Android apps on GNU/Linux operating systems such as UBports."

https://docs.ubports.com/en/latest/userguide/dailyuse/anbox.html

Men zou dat net als bij de Ubuntu Touch op een Librem 5 mobiel kunnen doen. Dan kan men ook de hele verzameling van F-Droids apps naadloos onder PureOS in een Anbox laten werken, als men dat zou willen.

Uiteraard is het dan ook maar de vraag of die truc daarmee niet de veiligheid van de Librem 5 hardwre ondermijnd, maar er ook de verzameling van open source Android apps op laten draaien -- dat zou technisch gezien goed moeten kunnen.

Het gaat om "captive portal detection". Dat zie je bij wifi-hotspots waar je eerst naar een aanmeldpagina wordt geleid voor je kan browsen. Het probleem dat daarbij op kan treden is dat die aanmeldpagina of de redirect daarheen door de browser wordt gecachet en ook na een geslaagde aanmelding aan de gebruiker getoond worden, zodat het voor de gebruiker lijkt alsof de eigenlijke webpagina niet bereikbaar is.

Wil de browser dat kunnen opvangen dan moet die kunnen detecteren dat er zo'n captive portal actief is. Dat doet Firefox door de URL http://detectportal.firefox.com/success.txt op te vragen. Als daar als antwoord de tekst "succes" op terugkomt dan is de request niet afgevangen door een captive portal, komt er niets of iets anders terug dan wel.

Zie (onder andere) deze bugmeldingen:

https://bugzilla.mozilla.org/show_bug.cgi?id=562917
https://bugzilla.mozilla.org/show_bug.cgi?id=701823

Natuurlijk is het technisch mogelijk het gebruik van Firefox te monitoren met zo'n reuqest. Maar doen ze dat ook? Me dunkt dat ze hier echt iets waar gebruikers last van hebben hebben opgelost. Aangezien Librem een mobiele telefoon is zit het er dik in dat gebruikers ervan meer gebruik gaan maken van Wifi-hotspots dan desktopgebruikers. Dat zou zomaar de reden kunnen zijn dat het aan is blijven staan, het heeft een functie.

Als je Mozilla zo wantrouwt dat je denkt dat die hun gebruikers profileren dan kan je Firefox en afgeleiden beter helemaal niet gebruiken. Ik vrees alleen dat je bij alle mainstream-browsers hetzelfde probleem gaat hebben, Firefox is niet de enige die aan captive portal detection doet.

Hoe dan ook, ga naar about:config en filter op "portal". Dan zie je hoe je het uit kan zetten, maar ook dat je de URL kan aanpassen. Je kan, als je dat hebt, op je eigen webserver een tekstbestandje met het woord "succes" als inhoud neerzetten en de URL daarnaar laten verwijzen. Dan werkt de detectie en volgt Mozilla je niet.

Je kan ermee je e-mail lezen, websites en -applicaties gebruiken, navigeren, chatten, bellen, foto's/filmpjes maken en spelletjes spelen. Dat lijken me precies de dingen die de meeste mensen met een smartphone doen.

Ik vind het vrij kortzichtig om dit project meteen af te serveren omdat het de precieze applicaties niet kan draaien van merken die jij toevallig gebruikt (en, to be fair, op dit moment wellicht de meerderheid van gebruikers). Sterker nog, de doelgroep van deze telefoon is juist niet geinteresseerd om applicaties te kunnen installeren die de gebruiker bespioneren.

Voor de mensen die alsnog apps zoals Whatsapp, Instagram en Facebook willen kunnen draaien (wat een beetje het hele punt van deze telefoon ondermijnt) zal dit dadelijk mogelijk zijn als de Android-emulatielaag af is.

Het uitleveren is begonnen, ik ben benieuwd.

Het uitleveren lijkt nog niet begonnen te zijn:
https://tweakers.net/nieuws/158904/purism-lijkt-ondanks-belofte-geen-enkele-librem-5-verzonden-te-hebben.html

Voorlopig nog loze beloftes, je zult straks maar service van die toko nodig hebben, schept echt vertrouwen. Eerst tig keer uitstel en dan verkondigen dat de uitlevering is gestart wat niet waar lijkt te zijn.

Is er al iemand die zijn/haar telefoon heeft mogen ontvangen en wat zijn de ervaringen?